IPsec 소개

IPsec는 패킷을 인증하거나 패킷을 암호화하거나 둘 다 수행하여 IP 패킷을 보호합니다. IPsec는 IP 모듈 내에서 수행됩니다. 따라서 인터넷 응용 프로그램에서는 IPsec를 사용하도록 구성할 필요 없이 IPsec를 활용할 수 있습니다. 제대로 사용되면 IPsec는 네트워크 트래픽을 보호하는 효과적인 도구가 될 수 있습니다.

IPsec 보호에는 다음 주요 구성 요소가 관련됩니다.

보안 프로토콜 – IP 데이터그램 보호 방식입니다. AH(인증 헤더)는 IP 패킷의 해시를 포함하고 무결성을 보장합니다. 데이터그램의 컨텐츠는 암호화되지 않지만, 수신자에게 패킷 컨텐츠가 변경되지 않았음을 보장합니다. 또한 패킷이 발신자에 의해 보내졌음을 수신자에게 보장합니다. ESP(보안 페이로드 캡슐화)는 IP 데이터를 암호화하므로 패킷 전송 중 컨텐츠를 숨깁니다. 또한 ESP는 인증 알고리즘 옵션을 통해 데이터 무결성을 보장할 수 있습니다.
SA(보안 연결) – 네트워크 트래픽의 특정 플로우에 적용되는 암호화 매개변수 및 IP 보안 프로토콜입니다. 각 SA는 SPI(Security Parameters Index)라는 고유한 참조를 가집니다.
SADB(보안 연결 데이터베이스) – 보안 프로토콜과 IP 대상 주소 및 색인화 번호를 연결하는 데이터베이스입니다. 색인화 번호는 SPI(보안 매개변수 색인)라고 합니다. 이러한 세 가지 요소(보안 프로토콜, 대상 주소 및 SPI)는 적법한 IPsec 패킷을 고유하게 식별합니다. 데이터베이스는 패킷 대상에 도달하는 보호된 패킷을 수신자가 인식할 수 있도록 합니다. 또한 수신자는 데이터베이스의 정보를 사용하여 통신을 해독하고, 패킷이 변경되지 않았음을 확인하며, 패킷을 재어셈블하고, 패킷을 최종 대상에 전달합니다.
키 관리 – 암호화 알고리즘 및 SPI에 대한 키 생성 및 배포입니다.
보안 방식 – IP 데이터그램에서 데이터를 보호하는 인증 및 암호화 알고리즘입니다.
SPD(보안 정책 데이터베이스) – 패킷에 적용되는 보호 레벨을 지정하는 데이터베이스입니다. SPD는 IP 트래픽을 필터링하여 패킷이 어떻게 처리되어야 하는지 결정합니다. 패킷은 폐기할 수 있습니다. 패킷은 투명하게 전달할 수 있습니다. 또는 패킷은 IPsec로 보호할 수 있습니다. 아웃바운드 패킷에 대해 SPD 및 SADB는 적용할 보호 레벨을 결정합니다. 인바운드 패킷에 대해 SPD는 패킷에 대한 보호 레벨이 합당한지 여부를 결정하는 데 도움을 줍니다. 패킷이 IPsec로 보호되는 경우 패킷을 해독하고 확인한 후 SPD를 참조합니다.

IPsec는 IP 대상 주소로 이동하는 IP 데이터그램에 보안 방식을 적용합니다. 수신자는 SADB의 정보를 사용하여 도달한 패킷이 적법한지 확인하고 해독합니다. 응용 프로그램에서는 IPsec를 호출하여 소켓별 레벨에서도 IP 데이터그램에 보안 방식을 적용할 수 있습니다.

포트의 소켓이 연결되고 나중에 해당 포트에 IPsec 정책이 적용될 경우 해당 소켓을 사용하는 트래픽은 IPsec로 보호되지 않습니다. 물론, IPsec 정책이 포트에 적용된 이후 포트에서 열린 소켓은 IPsec 정책으로 보호됩니다.

IPsec RFC

IETF(Internet Engineering Task Force)는 IP 계층에 대한 보안 아키텍처를 설명하는 여러 RFC(Requests for Comment)를 게시했습니다. 모든 RFC는 Internet Society에 의해 암호화됩니다. RFC에 대한 링크는 http://www.ietf.org/를 참조하십시오. 다음 RFC 목록은 일반적인 IP 보안 참조를 다룹니다.

RFC 2411, “IP Security Document Roadmap,” 1998년 11월
RFC 2401, “Security Architecture for the Internet Protocol,” 1998년 11월
RFC 2402, “IP Authentication Header,” 1998년 11월
RFC 2406, “IP Encapsulating Security Payload (ESP),” 1998년 11월
RFC 2408, “Internet Security Association and Key Management Protocol (ISAKMP),” 1998년 11월
RFC 2407, “The Internet IP Security Domain of Interpretation for ISAKMP,” 1998년 11월
RFC 2409, “The Internet Key Exchange (IKE),” 1998년 11월
RFC 3554, “On the Use of Stream Control Transmission Protocol (SCTP) with IPsec,” 2003년 7월

IPsec 용어

IPsec RFC는 시스템에서 IPsec를 구현할 때 알아두면 유용한 많은 용어를 정의합니다. 다음 표에서는 IPsec 용어 및 일반적으로 사용되는 약어를 나열하고 각 용어를 정의합니다. 키 협상에서 사용되는 용어 목록은 표 9-1을 참조하십시오.

표 6-1 IPsec 용어, 약어 및 사용

IPsec 용어	머리글자어	정의
보안 연결	SA	네트워크 트래픽의 특정 플로우에 적용되는 암호화 매개변수 및 IP 보안 프로토콜입니다. SA는 보안 프로토콜, 고유한 SPI(보안 매개변수 색인), IP 대상, 이렇게 3중으로 정의됩니다.
보안 연결 데이터베이스	SADB	모든 활성 보안 연결을 포함하는 데이터베이스입니다.
보안 매개변수 색인	SPI	보안 연결에 대한 색인화 값입니다. SPI는 동일한 IP 대상 및 보안 프로토콜을 가지는 SA 사이에서 구분되는 32비트 값입니다.
보안 정책 데이터베이스	SPD	아웃바운드 패킷 및 인바운드 패킷이 지정된 보호 레벨을 가지는지 여부를 결정하는 데이터베이스입니다.
키 교환		비대칭 암호화 알고리즘을 사용하여 키를 생성하는 프로세스입니다. 두 가지 주요 방식은 RSA 및 Diffie-Hellman입니다.
Diffie-Hellman	DH	키 생성 및 키 인증을 허용하는 키 교환 알고리즘입니다. 인증된 키 교환이라고도 합니다.
RSA	RSA	키 생성 및 키 배포를 허용하는 키 교환 알고리즘입니다. 프로토콜 이름은 Rivest, Shamir, Adleman 등 3인의 저작자 이름에서 따왔습니다.
인터넷 보안 연결 및 키 관리 프로토콜	ISAKMP	SA 속성 형식 설정과 SA 협상, 수정 및 삭제를 위한 공통 프레임워크입니다. ISAKMP는 IKE 교환 처리를 위한 IETF 표준입니다.

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어)